Si echo la mente atrás, la cantidad de veces que me he disfrazado es enorme. De casi todo. Pero es que dar charlas haciendo algo divertido ha sido una de las grandes motivaciones para subirse a un escenario que he tenido en mi vida. Y subirse disfrazado suele ser un buen planteamiento de cómo hacer la charla. No os las dejo en el artículo de hoy porque podéis buscar en Internet y encontrar fotos de todo tipo.
Figura 1: Los monstruos de Halloween que llaman a tu puerta
También he visto a algunas personas disfrazadas de Chema Alonso, porque al final soy facilón para imitar. Dos camisetas, vaqueros, zapatillas rojas, gorro azul y marrón, y pelo largo por debajo. Done. No hay mucha complicación. Y yo hoy me volveré a disfrazar, con máscara, y lo mismo hasta la uso para hacer el Tiktok que quiero hacer - que ya han pasado muchos días sin hacer uno -. Ya veremos en un rato.
Lo curioso de este día es que las personas normales se disfrazan de monstruos, cuando el resto del año los monstruos se disfrazan de personas normales. Un día en el que los monstruos van llenos de color por la calle. Colores llamativos para atraer las miradas de todos. Es un poco como el correo legítimo, las newsletters y el spam. Cuantos más colores tengan en el mensaje más monstruoso es el mensaje.
Figura 3: Emoticonos en los Monstruos con lentejuelas de Halloween que llegan por Spam
Basta con que vayas a tu carpeta de SPAM y eches una mirada a los colores que puedes leer en los nombres de los remitentes y en el asunto de los mensajes. Emoticonos coloridos que compiten por tu mirada, pero que no dejan de ser una muestra de cuánto de peligroso y monstruoso es ese e-mail que has recibido.
Figura 4: Mi monstruo de Hallowen de este año me quiere regalar un iPhone 12 Pro
Pero recuerda, a estos con colores se los reconoce fácil. Van disfrazados de monstruos y se les ve venir. El problema son el resto del año, donde los monstruos van disfrazados de personas normales o de amigos que te van a regalar un iPhone 12 hoy, la noche de Halloween. Los mensajes de e-mail de los verdaderos monstruos parecen inofensivos el resto del año, son sobrios mensajes de gente mundana. Cuídate de ellos más que de los monstruos de brillantina y lentejuela de Halloween, que son estos que no ves venir los que deben traerte mayor miedo....
Sí, el puente no ha hecho más que comenzar. Nos queda la fiesta de Halloween, y un día extra de vacaciones para disfrutar del frío, la lluvia y las cosas chulas de estos días, y yo ya estoy planificando mi semana de trabajo. Qué le voy a hacer, es mi forma de vivir, así que os paso las cábalas que me he estado anotando durante esta semana, que con la llegada de Noviembre viene tela.
Figura 1:Mi calendario personal de Eventos y CONS para esta semana que entra
Yo tengo las siguientes citas para esta semana, por si a alguna de ellas aún te quieres apuntar, que la mayoría tienen sesión por Internet.
- 3 de Noviembre: Telefónica Innovation Day 2021. Es solo una horita, así que se hará corto y ameno. Será por la mañana, así que resérvate el rato del café para estar con nosotros y puedas ver lo que hacemos tanto en Core Innovation como en Open Innovation, que este año ha sido una año entretenido.
- 4 de Noviembre: Trans Atlantic Cibersecurity Summit 2021. Desde Canarias, pero con conexión remota, yo me conectaré en directo para estar con los asistentes de esta edición y dar una charla de una hora con mis queridas Gremlin Botnets, de las que siempre hay mucho que hablar.
- 9 de Noviembre:Ecosistema de Cibersegurdiad. Aunque ya no es esta semana, sino la siguiente, la tengo en mi calendario, que estaré con Juanjo Salvador, en una conversación abierta para hablar de cómo formarse y trabajar en esta profesión nuestra.
Estas son en las que yo estaré presencialmente como ponente, pero además hay otra serie de eventos y charlas en las que estaré como asistente y con apoyos desde Singularity Hackers, 0xWord y MyPublicInbox, que son los siguientes.
- 8 al 13 de Noviembre: HoneyCON 2021. En formato presencial y online, vuelve HoneyCON a juntar, con centro en Guadalajara (España), las jornadas de hacking y ciberseguridad. Con Vicente Aguilera, Carlos Seisdedos, Nacho Brihuega, Josep Albors, y un largo etcétera, además de un Hack&Beers incluido. Para tomar nota.
Así que, para cuando tengas un momento y quieras organizarte tú tus semana, toma nota de las cosas que te dejo por aquí, por si te encaja alguna de ellas en cualquier momento, que son para que sigas conectado y mejorando en el mundo del hacking y la ciberseguridad.
En el artículo anterior hemos visto una introducción a las Deepfakes y cómo es la parte técnica y la arquitectura del trabajo, donde he contado cómo se ha construido, junto con las principales herramientas utilizadas. En el artículo de hoy, veremos cómo usar el plugin para la FOCA que se ha creado para conectar las URLs que se encuentren de vídeos con el motor de detección de DeepFakes.
Figura 1: FOCA DeepFake Detector
Como se ha contado en el artículo anterior, el sistema contiene actualmente cuatro servicios, aunque una red no está entrenada todavía para este problema por lo que nos centraremos en los tres restantes. Estos servicios son: análisis de vídeos manipulados mediante un comprobación con el repositorio de Faceforensics++, detección de rostros sintéticos mediante huellas y reconocimiento de de artifacts, y por último, el uso de modelos propios subidos a TensorflwoHub. Cada uno de ellos tiene unos parámetros de entrada y salida diferentes dependiendo de las implementaciones que se han tomado como base.
Antes de entrar en materia para cada algoritmo en concreto, vamos explicar cómo cargar el plugin programa FOCA. Primero tenemos que descargar la librería DeepFakesAnalisis.dll creada en el trabajo y que se encuentra en el repositorio. Luego lo cargamos en FOCA como cualquier otra extensión. Sin embargo, necesitamos añadir otras librerías en la carpeta de FOCA para que funcione correctamente. Estas librerías son BouncyCastle.Crypto.dll y itextsharp.dll. Estas son utilizadas por nuestro plugin ya que, para cada ejecución, se crea un archivo PDF con los resultados obtenidos, URL del contenido, fecha, algoritmo, etcétera. EL nombre de este archivo se crea a partir del algoritmo utilizado junto con la fecha y hora del análisis.
Figura 3: Necesitas descargar las siguientes tres librerías de GitHub.
Una vez tenemos funcionando FOCA y cargado el plugin, vamos a ver cómo analizar Deepfakes. El funcionamiento en cada caso es bastante sencillo. En la parte superior tenemos un selector para cada uno de los algoritmos y se nos muestra un formulario acorde con los parámetros de entrada del mismo. Los obligatorios están marcados con un asterisco.
Figura 4: Plugin de DeepFake Detector en FOCA. Selección de motores
Una vez está completo, le damos al botón de analizar. Se nos mostrará una pantalla indicando que se están realizando los cálculos. Cuando se obtenga el resultado, se mostrará un mensaje indicando si el video o imagen es fake o no y podremos volver a seleccionar un nuevo algoritmo. Los parámetros de cada uno son:
Faceforensics: análisis de vídeos. Una vez analizado el contenido, obtenemos los resultados junto, de manera excepcional, con unos porcentajes de confianza de la predicción.
URL: dirección URL de Youtube del vídeo. Los vídeos deben de estar obligatoriamente subidos a esta plataforma para poder analizarlos ya que hacemos uso de pyTube. Es deseable que en el vídeo aparezca únicamente el rostro a analizar aunque esto lo podemos solucionar con los siguientes parámetros.
Frame inicial y Frame final: primer fotograma a analizar. Es de utilidad para "recortar" el vídeo y centrarnos únicamente en la parte que nos interesa analizar.
Modelo a emplear: referido a los pesos de la red. Hay dos posibilidades ffpp_c40.pth y ffpp_c23.pth. Por defecto se toma el primero de ellos.
Figura 5: Configuración de FaceForensics++
ReverseEngineering: detección de rostros sintéticos (referenciado así por lo mecanismo de ingeniería inversa que usa el paper original).
URL: dirección web de la imagen. No se restringe la plataforma donde debe de estar almacenada la imagen, solo debe que cumplir que la URL lleve directamente a la imagen deseada.
Modelo: al igual que el anterior, tenemos varios pesos de la red disponibles que son: 0_32000_model_31_70- 23.pickle, 0_32000_model_29.pickle y 0_64000_model_30.pickle.
Figura 6: Pprocesado el vídeo, el plugin dice si es Fake o no
KerasIOImg: análisis de imágenes con un modelo propio.
URL: de la imagen.
Modelo:URL del modelo de TensorflowHub a emplear y que debe seguir la versión 2. Un ejemplo no específico para deepfakes puede ser este.
Tamaño de la imagen: tamaño de las imágenes de entrada que acepta el modelo creado.
Figura 7: Informe de todos los vídeos analizados
Usar LIME: obtener una imagen con las zonas de la fotografía original que han llevado al modelo a tomar una decisión u otra. En caso de querer obtenerla, una vez finalizado el análisis, se abrirá un pop-up con la dirección web de Google Storage donde se encuentra almacenada. Para copiar la URL, se puede pulsar Ctrl+C para copiar el contenido, pegarlo en el buscador y eliminar los caracteres que sobran. Un ejemplo de imagen tomando ésta de la entrada de StyleGAN en la Wikipedia es el que vemos a continuación.
Podemos ver un ejemplo práctico de su uso en el siguiente vídeo que muestra cómo cargar y analizar un vídeo. En él vamos a analizar el vídeo de la primera entrada donde aparece el Deepfake de Jenifer Lawrence y Steve Buscemi. En este ejemplo, seleccionamos un modelos de los dos disponibles para este algoritmo aunque no es obligatorio. Además, solo se han decidido analizar los primeros 20 fotogramas del vídeo para que el análisis sea más rápido.
A modo de conclusiones, podemos ver que, utilizando herramientas de Inteligencia Artificial combinadas con las ventajas de la computación en la nube, se ha creado un sistema fácilmente escalable para detectar Deepfakes. Además, a falta de realizar una análisis más exhaustivo sobre la infraestructura necesaria para cada algoritmo, usando una aproximación sin servidor se han podido desplegar los servicios de una manera sencilla. Además, al estar disponible en forma de API, se podrían emplear en cualquier otra interfaz de usuario únicamente realizando llamadas HTTP.
Actualmente, estamos inmersos en un mundo donde las Fake News están muy presentes. Cada vez tenemos que ser más cautos con el contenido que vemos en Internet y, en muchos casos, ser capaces de saber si la información que tenemos entre manos es verdad o no. Sin embargo, las Fake News y la desinformación no se centran únicamente en noticias escritas. Un campo muy peligroso lo encontramos dentro de los Deepfakes, utilizadas como elemento clave en la creación de Fake News realistas.
Figura 1: Un DeepFake Detector escalable e integrado con FOCA
Figura 2: Ejemplo de la cara de la actriz de Star Wars en el cuerpo de una actriz porno
Las técnicas de Deepfakes pueden aplicarse en una gran cantidad de campos, como se puede ver también en el artículo de BladeRunners & Virtual Replicants. Por ejemplo, en el ámbito cinematográfico, donde se pueden recrear Flashbacks de una manera más sencilla. Se pueden rejuvenecer a actores e incluso se pueden revivir a actores que desgraciadamente han fallecido y no han podido acabar el rodaje de películas. Ejemplos los encontramos en superproducciones como Los juegos del hambre o Fast & Fourious. En el ámbito del del marketing y la publicidad se pueden crear personas ficticias que sean imágenes de campañas publicitarias.
También es posible contratar a un actor pero que no grabe propiamente el vídeo sino que aporte su imagen y mediante técnicas de Deepfakes hacer como si lo protagonizara. De hecho, ya hay ofertas de trabajo para ser modelo de Deepfakes. En las videoconferencias en diferentes idiomas se puede ir modificando el movimiento de la boca para que, junto con técnicas de NLP para llevar a cabo traducciones, dé la sensación de estar ambas personas en el mismo idioma.
Figura 3: DeepFake de película SOLO para poner a Han Solo de joven
Sin embargo, son herramientas que pueden llegar a ser bastante nocivas, especialmente en el ámbito de la desinformación como hemos mencionado al principio del artículo. Se pueden crear vídeos de políticos haciendo determinadas afirmaciones que pueden llegar a causar conflictos y muchas preocupaciones entre los ciudadanos. También, son bastante propicias las extorsiones, especialmente creando vídeos de carácter pornográfico, con el fin de obtener alguna recompensa económica o dañar la imagen de la persona afectada.
No hay que olvidar tampoco los problemas éticos que esto puede ocasionar. Nos podemos hacer preguntas como: ¿está bien traer a la vida a una persona conocida para una campaña publicitaria? o ¿qué tipo de contenido se puede generar para que no sea considerado un delito? Por último, es importante destacar la facilidad de acceso a técnicas y recursos para crear este contenido, lo que aumenta la cantidad de contenido falso a la que podemos estar expuesto.
Figura 4: Noticias de DeepFakes
Este hecho unido a la velocidad en la que se propaga el contenido en redes sociales hace que tengamos que estar más alerta. Hay muchos cuaderno de Google Colaboratory que guían en todo el proceso. Pero no es necesario tener grandes conocimientos, existen aplicaciones gratuitas en los teléfonos móviles que permiten crearlos de una manera muy rápida y sencilla.
Centrándonos en los ámbitos de manipulación, nos encontramos con cuatro ámbitos diferentes de actuación, aunque en el ámbito de la desinformación destacan los tres primeros ya que son los más propicios a generar noticias falsas.
Síntesis de rostros: para generar rostros de personas que no existen.
Intercambio de la identidad: tomar una imagen/fotograma base y sustituir el rostro que aparece por otro.
Intercambio de la expresión: la persona que aparece en la imagen base y objetivo es la misma pero su expresión (enfadado, triste, alegre...) en función de la objetivo.
Manipulación de atributos: para añadir elementos como pelo, gafas, barba...
Para la síntesis de rostros de rostros se utilizan sobre todo redes generativas adversarias (GANs). Las principales arquitecturas son la red ProGAN y StyleGAN (en su versión 1 y 2) que nos pueden aportar muy buenos resultados. De hecho, los resultados son tan buenos que muchas es muy complicado poder detectarlo. Para este fin, se han empleado técnicas de que detectan el rango de color ya que es diferente el que aportan las cámaras gráficas a las técnicas de generación o mecanismos de estogoanálisis. Destaca una propuesta de Facebook que utiliza las huellas o marcas que dejan los diferentes algoritmos de generación de la imágenes.
En cuanto a las técnicas de intercambio de rostros y expresión utilizan técnicas muy parecidas entre sí. Por un lado, procesos gráficos en los que se seleccionan unos puntos clave en la imagen base y la objetivo y luego se fusionan y por otro lado técnicas propias de aprendizaje profundo utilizando redes neuronales. Un estudio más detallado se puede encontrar en este enlace. A diferencia de la síntesis de rostros, su detección es más fácil ya que los resultados presentan una serie de artifacts o defectos más visibles: contenido borroso, facciones duplicadas, poco detalle..
Entre las principales propuestas encontramos el conocido artículo de FaceForensics++. Este artículo es importante sobre todo porque aporta un conjunto de datos con vídeos en diferentes calidades y manipulados mediante diferentes técnicas para poder entrenar redes neuronales y mejorar los mecanismos actuales de detección. De hecho, en este artículo también se encuentra una propuesta de red entrenada bajo ese conjunto de datos que aporta muy buenos resultados.
Para este caso concreto hemos hecho el desarrollo de un sistema en la nube que ofrece una API para poder enviar contenido y analizar si se trata de un Deepfake o es real.
mecanismos actuales de detección. De hecho, con una propuesta de red entrenada bajo ese conjunto de datos que aporta muy buenos resultados.
GCP para albergar un sistema de detección de
deepfakes
Una vez descritas qué son los Deepfakes, las ventajas y desventajas que presentan así como una leve pincelada sobre los mecanismos de generación y detección empleando sobre todo técnicas de Deep learning, vamos a llevar a cabo la explicación de un sistema que se ha creado para poder llevar a cabo el análisis de Deepfakes. Este sistema se ha desarrollado como TFM para la titulación del Máster en Ingeniería Informática de la Universidad de Granada.
Figura 5: GitHub con el código del DeepFake Detector del TFM
Se ha desarrollado también bajo la supervisión del equipo de Ideas Locas de Teléfonica por lo que, dentro del trabajo, se ha desarrollo una extensión para el programa FOCA que hace uso de la API creada. Esta extensión la explicaremos con mayor detalle en la siguiente sección. Por ahora, nos vamos a centrar en la arquitectura desarrollada en el sistema. Todo el código se encuentra en este repositorio de GitHub.
Este sistema se basa en dos pilares fundamentales: Inteligencia Artificial y Cloud Computing. La primera de ellas, como he visto, abarca los algoritmos para detectar el contenido falso. De la segunda, aprovechamos las facilidades que ofrece relativas a infraestructura, potencia, disponibilidad de acceso, etcétera. Para el desarrollo a nivel de TFM se ha utilizado como proveedor de servicios a Google mediante la plataforma Google Cloud Platform. Sin embargo, como veremos, todas las funcionalidades se han encapsulado en un contenedor, por lo que llevarlo de un sistema a otro es relativamente sencillo.
Al ser sistema diseñado para ejecutarse en la nube, se ha seguido una aproximación Cloud Native para aprovechar todas la ventajas que nos ofrece el Cloud Computing:
Microservicios: Los diferentes algoritmos o funcionalidades se han implementado en microservicios distintos, lo que favorece el desarrollo independiente de los mismos evitando el solapamiento lo máximo posible. De este modo, se pueden utilizar diferentes lenguajes de programación, incluir mejoras sin afectar al resto de funcionalidades o realizar cambios. Además se pueden incluir otros algoritmos con unas pequeñas modificaciones sin afectar al resto. La comunicación entre los diferentes microservicios se realiza mediante llamadas HTTP.
Contenedores: cada microservicio es un contenedor (almacenado en Google Container Registry) definido en Dockerfile donde se encapsula el código con las dependencias del mismo lo que facilita su despliegue en diferentes ámbitos e incluso usarlo como entorno de test. Los Dockerfiles se encuentran dentro de las carpetas correspondientes a cada funcionalidad y que son accesibles fácilmente desde el README del repositorio.
CI/CD: para la integración y despliegue continuo se ha usado la herramienta de Google Cloud Build. De este modo, hay definidos una serie de tests que deben pasar cada uno de los microservicios se despliegue ya que de este modo se asegura el correcto funcionamiento del mismo. Este es el archivo con la definición del flujo de pruebas creado. A nivel general, para cada uno lo que se hacemos es descargar el contenedor correspondiente de GCR creado previamente, llevar a a cabo los nuevos tests (solo nos hacen falta las dependencias ya que el código nuevo se monta como volumen), usamos la caché para acelerar el proceso e incluir el nuevo código y finalmente desplegar el servicio.
DevOps: gracias a esta división de las funcionalidades, se hace más sencillo y rápido el proceso de la inclusión de mejoras, corrección de errores, etcétera. En los issues (cerrados) del repositorio podemos ver todo el proceso de desarrollo del trabajo.
Finalmente, ha sido importante el uso de sistemas sin servidor, conocido como Serverless. En nuestro caso, no necesitamos que los algoritmos se estén ejecutando continuamente, sino que una vez reciben de una petición, solo necesitan hacer los cálculos y devolver el resultado. Las ejecuciones son independientes unas de otras por lo que no necesitan mantener un estado global. En caso de querer almacenar información, podemos utilizar un servicio denominado caché y que explicaremos a continuación. En esta ocasión, hemos aprovechado los servicios de Google Cloud Run para ejecutar los algoritmos y de GoogleFunctions para integrar los resultados del despliegue en el README del repositorio.
Figura 6: Arquitectura del sistema para detección de DeepFakes
Una vez vista la parte teórica del trabajo, pasamos a explicar los algoritmos incluidos y que sirven para detectar Deepfakes. Notamos que en el TFM no se ha llevado a cabo la implementación de dichos algoritmos sino que se han adaptado algunas ya propuestas. Además, toda la arquitectura del sistema junto con las relaciones de los mimos ser muestra en la siguiente figura.
api: ofrece la API de entrada al sistema y está desarrollada en Golang utilizando Gin como Web Framework. Su principal cometido es redirigir las peticiones de entrada a los diferentes algoritmos (se han implementado 4 algoritmos en total) con el objetivo de tener un único endpoint. También lleva un control de las peticiones por usuario haciendo uso de la caché. La definición completa de la API la podemos encontrar aquí aunque exploraremos las entradas de cada algoritmo más adelante.
faceforensics: para el análisis de vídeos se puede utilizar una red neuronal entrenada con el conjunto de datos de Faceforensics++. Se ha empleado como base la implementación de HonggLiu. Este algoritmo junto al resto, están desarrollados en Python, usando Flask como servidor HTTP. Para enviar un vídeo, se debe indicar la URL del vídeo que debe de estar subido a la plataforma Youtube.
reverseeng: este servicio se encarga del análisis de rostros sintéticos en imágenes utilizando la huella que dejan los algoritmos de generación. Se ha empleado el código original de la propuesta de Facebook.
kerasioimg: este servicio se encarga de análisis de imágenes. Sin embargo, el modelo para llevar a cabo la predicción lo puede entrenar el propio usuario. Esto es así ya que un parámetro de entrada es la dirección del modelo que se debe descargar y que debe de estar almacenado en la plataforma TensorflowHub. Este modelo debe seguir la versión 2 siguiendo el ejemplo de este modelo (entrenado para otros propósitos) ya subido a la plataforma. Además, se puede obtener una imagen siguiendo el algoritmo LIME con aquellas zonas de la imagen que han podido llevar al modelo a tomar una decisión u otra.
kerasio: este último modelo es para análisis de vídeos. Notamos que todavía no es funcional para llevar a cabo las predicciones de deepfakes al faltar el entrenamiento de la red para este problema en específico. Sin embargo, al englobarse dentro de un TFM se ha incluido para mostrar la versatilidad del sistema y por ser una propuesta muy interesante a explotar en el futuro. Utiliza una red neuronal con una parte recurrente para detectar las inconsistencias temporales de los vídeos ya que los fotogramas se suelen generar de manera independiente, lo que da lugar a incongruencias entre los mismos.
También se han implementado dos interfaces de usuario que hacen uso de la API, una en forma de extensión para FOCA que veremos en la siguiente entrada y una aplicación web para poder acceder al sistema desde cualquier navegador web, que se ha creado una web mediante React. En ella encontramos una página de inicio con una introducción a los Deepfakes y a los diferentes algoritmos que se pueden utilizar. Esta es una versión simplificada de los formularios por lo que no están disponibles todas las opciones.
Por último hemos creado un servicio caché que utiliza las funcionalidades de Google Firebase que nos proporciona una base de datos en tiempo real que la utilizamos para almacenar las peticiones por usuario y los resultados de algunas ejecuciones (almacenando el valor hash de cada archivo) para aliviar la carga del sistema. En el próximo articulo de mañana veremos la utilidad real del mismo viendo cómo usar el plugin para FOCA y donde exploraremos todas las posibilidades que ofrece.
Hacía mucho tiempo que no entraba a Zone-h a ver algunos Defacement de páginas web. Durante años visitaba todos los días para ver qué habían publicado nuevo, pero desde que comenzaron los ataques masivos a servidores DNS para hacer defacements con técnicas de redirect por miles, lo fui dejando de visitar poco a poco. Hoy la noticia ha sido el Defacement de la web del ex-presidente Donald Trump, y he entrado otra vez a primera hora de la mañana para ver "cómo iba la competi".
Figura 1: El defacement de la web de Donald Trump y
la "competi" por hacer grafitis en sitios web
Si has visto charlas mías antiguas, seguramente me habrás escuchado hablar de Zone-h y los defacement. El arte del "Defacement" consiste en modificar la apariencia de una web controlando lo que se pinta en un determinado dominio, en el caso de hoy, el dominio de la web personal del ex-presidente Donald Trump.
Esto se puede hacer de muchas formas, desde hackeando el servidor DNS y haciendo que apunte a otra servidor web controlado, hasta hackeando el servidor web y cambiando los archivos que sirve, modificando la base de datos de dónde se cargan los datos o, como se hizo en la web de la popular conferencia de seguridad informática, hackeando un servidor tercero desde el que se carga algo de contenido - es decir, un ataque a un proveedor -.
El defacement es un arte muy similar al grafiti, consiste en hacer una pintada en una web en forma de mensaje escrito, de diseño gráfico, de simple firma para saber que el artista ha sido capaz de firmar en la web, pero que podría haber hecho algo mucho más sibilino y sutil. Hay que tener en cuenta que, por ejemplo, si alguien hubiera visitado la web hackeada de "juantaextremadura.net" - reportada la semana pasada - podría haber sito atacado si el atacante hubiera querido poner algo malicioso para los visitantes. Pero a él le ha bastado con poner un archivo de texto con su firma.
Figura 4: Defacement de firma aún activo en juntaextremadura.net
Entrar a Zone-h siempre es darse cuenta de cómo funciona el mundo de Internet, de lo fácil que sigue siendo para los atacantes entrar en los servidores expuestos a la red de empresas y administraciones públicas. Por ejemplo, ese ejemplo que os acabo de poner de Junta de Extremadura, aún se encuentra sin ser detectado y reparado, a pesar de que esta dado de alto y publicado en la web más famosa de defacements.
Por supuesto, siempre quedarán ya en el mirror - la copia que hace el sito Zone-h del defacement para que perdure después de que sea arreglado, así que es también una buena medida para conocer el nivel de protección o no que tiene una determinada organización, ya que se pueden buscar dominios, direcciones IP, defacements, etcétera.
Figura 6: Mirror de defacement Homepage en dominio .FR
Además siempre es curioso ver los defacement destacados, con especial interés con los que han sido en la Homepage, que vienen marcados con la H. Este es otro fresco, de un dominio en Francia que aún está "caliente" ya que es de ayer mismo. Supongo que hoy tendrán trabajo los equipos de CSIRT, el CISO, los pentesters, etcétera, para saber qué ha pasado, a qué ha afectado, cuánto hay que notificar a los clientes, cómo lo arreglamos, cómo hacemos que no vuelva a pasar.... es decir, hoy es día para que casi todos los roles de seguridad en esa organización trabajen un poco más nerviosos debido a la exposición pública... como los de la web de Donald Trump.
Figura 7: Defacement de Homepage aún "caliente" en domino .FR
Entra un rato a Zone-h, curiosea por allí a ver qué encuentras, que siempre hay cosas curiosas, por lo artístico de los defacers rusos, turcos y chinos, por las víctimas que te vas a encontrar, o por la cantidad de sitios que es capaz de hacerse un solo defacer o un grupo de ellos. Te va a dar una curiosa impresión de cómo es la seguridad del mundo de la web, para que navegues por sitios web al tuntún en tu día a día... Imagina que todos esos sitios hackeados en lugar de grafitis y firmas se dedicaran a distribuir ransomware... oh, wait!
Todos los meses actualizamos todas nuestras plataformas, y periódicamente añadimos nuevas características en los productos en las que llevamos trabajando un tiempo. La última que hemos puesto en producción y en la que hemos estado trabajando mucho para llevar a toda la planta de clientes ha sido la de poner las amenazas de Conexión Segura en la Living App de SmartWiFi para que puedas saber qué esta pasando en la red de tu casa.
Figura 1: Revisa las amenazas de la red WiFi de tu casa en la tele con SmartWiFi en Movistar+
Está disponible para todos los clientes de Movistar + que tengan el desco UHD, el router SmartWiFi y puedan acceder a las Living Apps. Para ello, en la sección de Apps de tu televisión puedes entrar en la living App de SmartWiFi y revisar la configuración de seguridad de tu red.
Figura 3: WiFi protegida con Conexión Segura sin amenazas
Esta protección revisará las conexiones a Internet de todos los equipos, evitando que te conectes a sitios peligrosos de phishing, de distribución de malware, con kit de exploits, o utilizados para realizar estafas a personas, que nuestros equipos de seguridad se ocupan de detectar y bloquear.
Figura 4: Estadísticas de bloqueos de Conexión Segura
Una vez que tengas activada la protección, desde tu televisión podrás ir revisando el detalle de tus amenazas desde la Living App de SmartWiFi, y podrás saber si estás teniendo comportamientos de riesgo, qué tipos de amenazas han sido las que se han bloqueado, y tomes, por tanto, nota de cómo mejorar tu seguridad personal.
Figura 5: Lista detallada de sitios bloqueados
Como puedes ver, es posible acceder a la lista detallada de sitios a los que tus dispositivos se han conectado y han sido bloqueados para que tengas toda la información de lo que está sucediendo en tu red. Tú tienes el control.
El próximo 9 de Noviembre por la tarde, participo en una charla abierta en el Campus Internacional de Ciberseguridad sobre el "Ecosistema de Ciberseguridad", donde charlaré en un formato entrevista con Juanjo Salvador, y donde todos los asistentes podrán preguntar temas relativos con la ciberseguridad, cómo formarse, cómo elegir la mejor rama en esta disciplina, y cómo emprender una andadura empresarial en ciberseguridad, que es un tema muy importante para nosotros este año.
La charla será 100% online, y abierta gratuitamente a todo el mundo, pero debes registrarte previamente en la web que se ha abierto para ello, ya que se realizará a través de una plataforma cerrada en la que todo el mundo debe acceder con sus credenciales.
El robo de dispositivos de alta gama - entre los que se encuentran los terminales iPhone - es cada vez más complicado para los ladrones que quieran aprovechar este negocio, así que ten mucho cuidado si te compras un terminal iPhone de segunda mano y viene protegido por Activation Lock y está marcado como perdido en Find My, o como robado con una denuncia en la policía, porque no vas a conseguir usarlo y ahora es probable que te encuentren, algo que antes no pasaba.
Figura 1: iPhone Anti-Theft: Activation Lock, Find My
y la Mesh Network detectar Lost iPhones
Los ladrones de terminales iPhone que los roban lo primero que intentaban después, por todos los medios posibles, conseguir la contraseña del Apple ID asociado a este dispositivo. Esto es porque en los terminales iPhone, si el dispositivo está asociado a una cuenta de Apple ID, este no va a poder utilizarse con otra hasta que con el mismo usuario se decida hacer la transferencia. Y los ladrones han aprendido mucho, que tenemos un largo Hall of Shame de ladrones en modo EPIC FAIL!
Los ladrones que conseguían robar el Apple ID de la víctima - normalmente con ataques de Phishing diciéndole al dueño legítimo que Find My iPhone había localizado su terminal para que diera su contraseña en una web más falsa que los billetes de doce euros -, tenían éxito en su robo y podían venderlo de segunda mano. O esperaban a que apareciera una forma de hacer jailbreak y hackear el iPhone desde el Firmware para no necesitar nunca el usuario y la password del AppleID.
Con el forzado del Segundo Factor de Autenticación, es aún más complicado, puesto que cuando se intenta acceder con una cuenta de Apple ID para hacer la desactivación del terminal, se produce una validación de la ubicación dónde se está intentando hacer login, lo que desvela dónde está el terminal de verdad, y se puede localizar por el dueño sin necesidad de aprobar el login al atacante, lo que les ha desincentivado bastante.
Figura 3: Tu terminal iPhone permanecerá localizable aún apagado.
Aún así, los ladrones de estos terminales cuentan también en iOS 15 con que los terminales, aún cuando están apagados, tiene suficiente batería en los chips U1, BlueTooth Low Energy y NFC reportan la dirección física del dispositivo a los equipos de Apple que encuentran en su alcance, y estos, funcionando como una Mesh Network reportan a Find My la ubicación del dispositivo iPhone. Tu terminal participa de esta red de localización de dispositivos perdidos, y puedes configurarlo para que no se use como nodo si quieres. Yo lo tengo activado para ayudar a localizar los terminales "Lost".
Figura 4: Participar en la red de Find My
Antes, los atacantes apagaban el dispositivo o lo reinstalaban completamente, para intentar que no hubiera ningún reporte a Find My, pero desde que está esta nueva función, los terminales deben estar siempre lejos de cualquier dispositivo de Apple en el mundo, en una bolsa o jaula de Faraday para ser encendidos sin que se reporte su ubicación. Pero claro.... ¿cómo consiguen desactivar Activation Lock y el Lost Mode en Find My sin conectarlo a Internet?
Y esta reflexión viene a colación de una pregunta que un estudiante de Escuela 42 me ha hecho a través de mi buzón público en MyPublicInbox de si tenía sentido o no poner seguridad - pidiendo el passcode o con FaceID - para apagar un terminal iPhone.
No sería algo lógico que para apagarlo te pidiese un face id, una password o cualquier otro tipo de verificación, a fin de alargar ese tiempo (mientras dure la batería) en el que te han robado para poder sacar provecho de las aplicaciones de localización de terminales perdidos?
La respuesta es que sí que es verdad que eso dificultaría al atacante un poco - igual que el truco de evitar que pusieran el iPhone en Modo Avión - pero que los ladrones, con una bolsa de Faraday de 10 € ya se lo saltarían. Es decir, todos los usuarios de iPhone tendrían una "incomodidad" más en el apagado del dispositivo, pero que no resolvería el problema de la bolsa de Faraday.
Por supuesto, cabe la posibilidad de que Apple ponga una opción para pedir passcode en el apagado, al igual que la podría pedir para atender una llamada, pero parece que son funciones básicas del terminal donde prima la usabilidad a la seguridad, y realmente no elimina el problema de la bolsa de faraday. Eso sí, me gustaría recalcar que Apple, como pedí hace ya mucho tiempo, debería hacer algo similar a esto con los AirPods Pro.
Figura 6: Activar el Lost Mode en Find My
Como recomendación personal, no compres terminales iPhone si no son en empresas que hagan el refurbished de manera oficial, profesional, y que te garanticen que la procedencia es la misma. Si es a un particular, comprueba que el IMEI del dispositivo no está marcada como "Lost" en su Find My y que no tiene Activation Lock activado.. Por otro lado, si te han robado el iPhone, entonces denúncialo en la Policía, con todos los detalles del mismo IMEI incluido, y márcalo en Find My como "Lost", no le harás la vida nada fácil al ladrón y hay altas posibilidades de que lo encuentres hoy en día como el nuevo modo de reporte de Find My.
La verdad es que tenía ganas de volver al circuito de las CONs internacionales. Han sido muchos años dando charlas en DefCON, BlackHat, Hack in the Box, Troopers, HackCON, ShmooCON, ToorCON, DeepSEC, Sec-IT en mundo anglosajón, y mis queridas Ekoparty, RootedCON, NCN, 8dot8, DragonJARCON, Hackr0n, Navaja Negra, HBSCON y un largo etcétera de CONS de Hacking en habla hispana. Muchas noches en aviones, muchas carreras por aeropuertos, muchos cambios de horario. Muchas vueltas por el mundo, que desde hace unos años, cuando comencé con el proyecto de ElevenPaths fui reduciendo.
He estado quitándome las ganas con conferencias cerca de Madrid, pero reduciendo mucho, mucho, mi actividad en conferencias internacionales. Y un día llegó la pandemia. Y con ella los eventos online. Y el encierro en casa. Y las ganas de salir. Así que me animé a participar en las versiones online de CONs tan importantes como 8dot8 este año, y Ekoparty el año pasado, además de eventos puntuales en los que he dado charlas online. Pero ahora que llega el "deshielo", vuelven las CONs internacionales. Y he querido animarme y volver a estar en alguna de ellas, y os dejo información por si queréis animaros a alguna vosotros.
Pero donde sí me he liado el "gorro" a la cabeza, ha sido para irme a la Hack In The Box CyberWeek 2021 en Abu Dhabi, para dar una de las Keynotes del evento. He sido speaker en un par de ocasiones en la HitB en Amsterdam, pero es la primera vez en mi vida que voy a visitar Abu Dhabi para dar una keynote, así que pienso disfrutarlo como nunca.
Además, entre la lista de ponentes se encuentra John Matherly, al que hace tiempo que tengo ganas de ver, que no nos vemos desde mis viajes a Las Vegas a dar charlas en DefCON & BlackHat, o al gran Hugo Teso, que se nos fugó de España para trabajar por medio mundo haciendo ... cosas de hackers.
Por supuesto, no creo que vuelva al ritmo frenético que llevé durante más de una década dando charlas en el circuito internacional de CONs, pero reconozco que cuando he recibido la invitación de HitB me picaron las ganas de hacerlo, así que... ya veremos.
Sigue El lado del mal en Telegram
Chema Alonso en Threads
Chema Alonso en Mastodon
Chema Alonso en BSKY
Chema Alonso en Linkedin
DragonJAR
8.8 Chile
Ekoparty
e-Hack MX 
AREA 51 
Comunidad Dojo Panamá 
ARPAHE SOLUTIONS 
